------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/9/18）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】米国のプライバシー保護の政策動向について解説
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・NISTフレームワークなど、米国のプライバシー保護の最新動向について解説
・米国で電力網に対するサイバー攻撃が発生
・米国FBIなど、ビジネスメール詐欺で281人を逮捕
・コンテンツデリバリーネットワーク（CDN）などを提供するCloudflare社がニューヨーク証券取引所に上場【IPO情報】

------------------------------------------------------------------------
【2】NISTプライバシーフレームワークの素案を発表
------------------------------------------------------------------------
いよいよ、米国でプライバシー保護の政策が動き出す。9月6日、米国国立標準技術研究所（NIST）が策定する「プライバシーフレームワーク」のパブコメが開始されたのだ。このフレームワークは、年内に最終化される予定であることから、今回の素案は、ほぼ最終版と言えるだろう。日本でも普及が進む「NISTサイバーセキュリティフレームワーク」と親和性が高く、2つのフレームワークを併用することで、サイバーとプライバシーの両リスクをまとめて対処しやすくなるという。

また、米国は州単位でプライバシー保護の立法化が進んでいる。2020年1月に施行される「カリフォルニア州の消費者プライバシー法（CCPA）」は、一部の日本企業も法規制の対象となる。同様に、ニューヨーク州、マサチューセッツ州、ペンシルベニア州、ワシントン州などでも、CCPAをモデルとした法律が検討されている。米国のプライバシー規制で注意すべき点は「集団訴訟」である。過去の情報漏えい被害者による集団訴訟では、信用情報会社のエクイファックス社が約750億円相当、保険会社Anthem社が約124億円相当の和解金を支払うことで合意している。州ごとに法規制が出来ることで、こうした集団訴訟は増加する可能性がある。

しかし、米国の個人情報を取り扱う企業が、1つ1つの州法に個々に対応するのは現実的ではないだろう。NISTプライバシーフレームワークなどを用いて自社のベースライン（基準値）を定め、事業展開する地域に応じて微調整していくアプローチが今後求められるであろう。

（参考情報）
NISTサイバーセキュリティフレームワーク https://www.nist.gov/privacy-framework/working-drafts
情報漏えいに関する集団訴訟一覧 https://www.classaction.com/data-breach/settlement/

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年9月4日～2019年9月13日）
------------------------------------------------------------------------
2019年9月4日 米国で電力網に対するサイバー攻撃が発生
北米電力信頼度協議会（NERC）は、今年3月にサイバー攻撃によって米国の一部の電力網に障害が発生したと発表した。原因は、発電設備のファイアウォールの脆弱性であった。管理センターと複数の発電設備の間で短時間（5分未満）の接続障害が複数回発生したが、停電には至らなかったという。
https://www.nerc.com/pa/rrm/ea/Lessons%20Learned%20Document%20Library/20190901_Risks_Posed_by_Firewall_Firmware_Vulnerabilities.pdf
https://www.eenews.net/stories/1061111289

2019年9月6日 NIST、プライバシーフレームワークの素案を発表
米国国立標準技術研究所（NIST）は、プライバシーフレームワークの素案を発表した。素案では、組織が具備すべき機能を5つに分類した（Identify（特定）、Govern（統治）、Control（管理）、Communicate（伝達）、Protect（防御））。また、NISTサイバーセキュリティフレームワークと併用することで、プライバシーとサイバーセキュリティのリスクをまとめて対処できると提案している。パブリックコメントの締切は2019年10月24日まで。
https://www.nist.gov/privacy-framework/working-drafts

2019年9月10日 米国FBIなど、ビジネスメール詐欺で281人を逮捕
米連邦捜査局（FBI）と連邦政府は「Operation Rewired」と称したビジネスメール詐欺（BEC：取引先や経営者層などとメールで偽り入金を促すサイバー攻撃）の大規模な取締りを4ヵ月に渡り行い、281人を逮捕したと発表した。逮捕された場所は、米国で74人、ナイジェリア167人、トルコ18人、ガーナ15人のほか、日本でも逮捕されたとのこと。約370万ドル（4億円相当）が押収され、約1億1800万ドル（194億円相当）の不正電信送金が回収された。
https://www.justice.gov/opa/pr/281-arrested-worldwide-coordinated-international-enforcement-operation-targeting-hundreds

2019年9月13日 米国財務省、北朝鮮のサイバー組織に経済制裁
米国財務省の外国資産管理局（OFAC）は、重要インフラなどへのサイバー攻撃に関与したとして、北朝鮮の3つの組織（ラザルス・グループ、ブルーノロフ、アンダリエル）を経済制裁の対象に指定したと発表した。9月上旬の国連安全保障理事会の専門家パネルの報告書では、北朝鮮がサイバー攻撃で最大2100億円の資金を不正取得したという分析結果が報告されたばかりであった。
https://home.treasury.gov/index.php/news/press-releases/sm774

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
8月5日 CyberRisk Alliance（CRA）がセキュリティ情報配信のSC Mediaを買収
8月8日 半導体メーカーのBroadcomがシマンテックの企業向けセキュリティ事業を買収予定
8月20日 マカフィーがセキュリティプラットフォームを提供するNanoSecを買収
8月22日 MSP事業を提供するNuMSP社がNTConnections社を買収
8月22日 VMwareがエンドポイントセキュリティのCarbon Black社とソフト開発ツールのPivotal社を買収予定
8月26日 オランダのElastic N.V.社がスレットハンティング事業者のPerched社を買収
9月4日 パロアルトネットワークス社がIoTセキュリティのZingbox社を買収予定
9月13日 コンテンツデリバリーネットワーク（CDN）などを提供するCloudflare社がニューヨーク証券取引所に上場【IPO情報】
IDマネジメントを提供するPing Identity社が上場予定【IPO情報】